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La presente invention se rapporte a un dispositif et un proced6 de 
detection de d6bordement de pile dans une memoire et une machine 3 
affranchir les mettant en ceuvre. 

Elle s'applique en particulier aux machines a affranchir dotees d'un 
programme s*executant dans un environnement multi-taches. 

L'execution correcte de chaque tache d'un programme doit etre 
garantie. On entend par execution correcte, le fait qu'une tache s'execute dans 
sa pile. La pile d'une tache correspond a un espace memoire qui lui est reserve. 
En d'autres termes, ('invention vise a* contrdler que la memoire utilisee par une 
tache se limite a I'espace memoire qui lui est allou6. 

Dans les programmes multi-taches utilisant des m6moires 
electroniques actuellement connus, aucune certification de non-debordement 
de pile d'une tache n'est pr§vue. 

Dans le cas des machines a affranchir, les taches peuvent g6rer des 
sommes d'argent ou des donnees dont la valeur doit rester integre. II est done 
indispensable de garantir qu'aucune pile ne deborde au dela de I'espace 
memoire qui lui a £te alloue. 

A cet effet, la presente invention vise a verifier pendant chaque 
changement de contexte au sein du programme que la pile de la nouvelle tache 
est integre. Ce controle d'integrite de la pile est fait en controlant les premiers 
octets de la pile par rapport a une valeur predefinie. Si ces octets de la pile 
possedent une valeur inattendue, la pile est considers comme viotee et 
Texecution d'au moins une tache du programme est arretee. 
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Ainsi, selon I'invention, on dedie un certain nombre d'octets au debut 
de chaque pile a la detection du debordement. Toutes les piles se succedant 
dans un espace memoire, le noyau multitaches verifie la valeur des octets 
dedies a la detection du debordement pour chaque tache qui va s'executer. 
5 Ainsi, si une pile deborde, elle modifie la valeur des octets dedies a la detection 
du debordement de la pile suivante. Des que le noyau multitaches detecte cette 
modification, I'execution d'au moins une des taches concernees par la pile 
ayant deborde ou par la pile vers laquelle a eu lieu le debordement, est arretee. 

A cet effet, a chaque changement de contexte, une routine de 
10 programme est mise en oeuvre pour verifier la valeur des octets dedies a la 
detection de debordement correspondant a la pile attachee a la prochaine tache 
qui va s'executer. 

Selon un premier aspect, la presente invention vise un procede de 
detection de debordement d'au moins une pile, espace memoire reserve a une 
15 partie d'un programme, caracterise en ce qu'il comporte : 

- pour chaque pile surveillee, une operation d'attribution de valeurs 
predeterminees a une partie de memoire qui, dans I'ordre d'ecriture de ladite 
pile, succede a ladite pile, et 

- a chaque mise en ceuvre d'une partie de programme associee a 
20 ladite pile, une operation de lecture de valeurs presentes dans ladite partie de 

memoire et une operation de verification de valeurs lues. 

Ainsi, si la pile a laquelle a ete attribute une partie de memoire 
deborde, c'est necessairement dans I'ordre des ecritures qui y sont faites et 
done, a partir d'un certain nombre d'ecritures en debordement, les valeurs 

25 predeterminees conservees dans la partie de memoire sont modifiees par 
ecriture (ou "ecrasement"). 

On observe que i'invention couvre aussi bien le cas ou c'est au debut 
de Texecution d'une tache ou en fin de cycle d f execution d'une tache que la 
verification de I'integrite des octets dedies a la detection du debordement est 

30 effectuee. 
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Selon des caracteristiques particulieres, ledit programme est 
multitache, chaque tache etant associee a une pile et a chaque changement de 
contexte, les operations de lecture et de verification sont effectuees : 

- sur la partie de memoire associee a la pile de la tache qui va etre 
5 mise en oeuvre, ou 

- sur la partie de memoire associee a la pile qui suit, dans Pordre 
d'ecriture des piles, la pile de la tache dont la mise en oeuvre vient d'etre 
interrompue. 

Grace a chacune de ces dispositions, le procede de I'invention 
10 s'applique particulierement efficacement aux programmes multitaches. 

Selon des caracteristiques particulieres, au cours de Poperation 
d'attribution, la partie de memoire associee £ une pile lui est mitoyenne. 

Grace a ces dispositions, le moindre debordement de pile est 

detecte. 

15 Selon des caracteristiques particulieres, au cours de Poperation 

d'attribution, la partie de memoire associee a une pile est mitoyenne de la pile 
suivante, dans Pordre d'ecriture de la pile a laquelle est associee ladite partie de 
memoire. 

Grace a ces dispositions, seul un debordement de pile qui pourrait 
20 perturber la pile suivante est detecte, ce qui laisse une plus grande souplesse a 
la gestion de la pile surveillee. 

Selon des caracteristiques particulieres, les operations de lecture et 
de verification sont effectuees par une routine dudit programme. 

Grace a ces dispositions, la mise en oeuvre de I'invention est 
25 particulierement aisee. 

Selon des caracteristiques particulieres, lesdites valeurs 
predetermines sont egales entre elles. 

Grace a ces dispositions, Poperation de verification est 
particulierement simple puisqu'elle consiste £ comparer chaque valeur lue avec 
30 la valeur predeterminee. 
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Selon des caracteristiques particulieres, lesdites valeurs 
predeterminees sont d'rfferentes de toutes les valeurs prises par les codes 
informatiques dudit programme ou de toutes les valeurs utilisees dans les piles. 

Grace a ces dispositions, il est impossible que le debordement de la 
5 pile ne resulte en une ecriture d'une valeur predeterminee dans la partie de 
memoire lue. 

Selon des caracteristiques particulieres, lorsque au cours de 
I'operation de verification, il est determine qu'au moins une valeur lue a ete 
modifiee, au cours d'une operation de modification de programme, la mise en 

10 ceuvre de chaque partie de programme relative a la pile associee a la partie de 
memoire qui a ete lue est suspendue. 

Selon d'autres caracteristiques particulieres, lorsque, au cours de 
I'operation de verification, if est determine qu'au moins une valeur lue a ete 
modifiee, au cours d'une operation de modification de programme, la mise en 

15 ceuvre de chaque partie de programme relative a la pile qui succede, dans 
I'ordre d'ecriture des piles, a la pile associee a la partie de memoire lue, est 
suspendue. 

Grace a chacune de ces dispositions, les consequences du 
debordement de pile sont limitees. 
20 Selon un deuxieme aspect, la presente invention vise un dispositif de 

detection de debordement d'au moins une pile, espace memoire reserve a une 
partie d'un programme d'ordinateur, caracterise en ce qu'il comporte un moyen 
de traitement adapte, 

- pour chaque pile surveillee, a attribuer des valeurs predeterminees 
25 a une partie de memoire qui, dans I'ordre d'ecriture de ladite pile, succede a 

ladite pile, et 

- a chaque mise en ceuvre d'une partie de programme associee a 
ladite pile, a lire des valeurs presentes dans ladite partie de memoire et a 
verifier des valeurs lues. 

30 L'invention vise, aussi, une machine a affranchir, caracterisee en ce 

qu'elle comporte un dispositif tel que succinctement expose ci-dessus. 
L'invention vise aussi : 
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- un moyen de stockage conformations lisible par un ordinateur ou 
un microprocesseur conservant des instructions d'un programme informatique 
caracterise en ce qu'il permet la mise en oeuvre du precede de ('invention telle 
que succinctement exposee ci-dessus, et 
5 - un moyen de stockage d'informations amovible, partiellement ou 

totalement, et lisible par un ordinateur ou un microprocesseur conservant des 
instructions d'un programme informatique caracterise en ce qu'il permet la mise 
en ceuvre du precede de invention telle que succinctement exposee ci-dessus. 

Ce dispositif, cette machine a affranchir et ces moyens de stockage 
10 presentant les memes avantages que le precede succinctement expose ci- 
dessus, ceux-ci ne sont pas rappeles icl. 

B ! atrtres avantages, buts et caracteristiques ressortiront de la 

description qui va suivre, faite en regard des dessins annexes dans lesquels : 

- la figure 1 represente, une machine a affranchir mettant en oeuvre 
15 le dispositif et le precede de detection de debordement de pile objets de la 

presente invention, 

- la figure 2 represente, schematiquement, un circuit electronique 
incorpore dans la machine a affranchir illustree en figure 1 , 

- les figures 3A et 3B represented des organisations de memoire 
20 conforme a la presente invention, respectivement avant et apres la detection 

d'un debordement de pile, et 

- la figure 4 represente un diagramme de fonctionnement du circuit 
electronique illustre en figure 2. 

La machine a affranchir 1 illustree sur les dessins comporte un 
25 dispositif pour imprimer, sur un objet plat tel que la lettre 2, d'une part, une 
marque d'affranchissement et, eventuellernent, une adresse de destination de 
I'enveloppe. 

Pour imprimer la marque d'affranchissement sur I'emplacement 
normalise prevu a cet effet, il faut faire passer la lettre 2 dans un couloir 5 que 
30 comporte la machine 1, ce couloir etant delimite par des elements soiidaires du 
bati, respectivement un support de glissement 6 qui forme le plafond du couloir 
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5, une table 7 qui en forme le plancher et une rampe qui en forme une limite 
lateraie, le couloir etant ouvert a I'oppose de cette rampe. 

Pour faire passer la lettre 2 dans le couloir 5, on pose la lettre sur la 
partie de la table 7 qui est en sailiie du cote prevu pour Introduction (cote que 
5 Ton voit a gauche en figure 1) puis on fait rentrer la lettre dans le couloir 5, 
comme montre en figure 1 f jusqu'a ce qu'elle sort entraTnee par les moyens 
prevus a cet effet dans la machine 1, I'impression de la marque 
d'affranchissement s'effectuant automatiquement pendant que la lettre 2 est 
entraTnee dans le couloir 5, la lettre affranchie etant expulsee de la machine a 
10 I'autre extremite du couloir 5 (extremite que Ton voit a droite en figure 1). 

Pour entramer la lettre 2, la machine 1 comporte deux gaiets 9 et 10 
passant chacun au travers d'une ouverture de la table 7, et deux contre-galets 
12 et 13, respectivement pour le galet 9 et pour le galet 10, passant au travers 
d'une ouverture du support 6. 
15 Les gaiets 9 et 10 sont montes a rotation par rapport au bati de la 

machine 1, par Tintermediaire de moyens de suspension 14 montres 
schematiquement sur la figure 1 . 

Les contre gaiets 12 et 13 sont montes a rotation sur le bati de la 
machine 1, sans etre suspendus par rapport a celui-ci. Un moteur electrique 
20 non represents sert a entramer en rotation synchrone les contre gaiets 12 et 13, 
par exemple par Tintermediaire d'une courroie (non representee) qui tourne 
autour de trois pignons portes respectivement par le moteur, par le contre galet 
12 et par le contre galet 13. 

Etant donne que les moyens de suspension 14 sollicitent les gaiets 9 
25 et 10 vers le support 6, et done vers les contre gaiets 12 et 13, les gaiets 9 et 
10 sont entraines par friction sur les contre gaiets 12 et 13, directement ou par 
t'intermediaire d'un objet, tel que la lettre 2, en cours de passage dans la 
machine 1 . 

La lettre 2, lorsqu'elle est introduite dans le couloir 5 comme montre 
30 sur la figure 1 , finit par rencontrer le galet 9 puis le contre galet 12 qui I'entraTne 
dans le sens indique sur la figure 1 par la fleche horizontale orientee de gauche 
a droite. Simultanement, le galet 9 s'abaisse tandis que la lettre 2 s'introduit 



entre les galets 9 et 12 de sorte que la lettre 2 progresse dans la machine 1 
avec sa face a imprimer 4 qui est plaquee et qui glisse contre la surface 17 du 
support de glissement 6. 

Pour imprimer la marque d'affranchissement a ('emplacement 
normalise qui lui correspond et/ou Tadresse de destination a I'emplacement 
normalise qui lui correspond, la machine 1 comporte des moyens depression 
19 montres tres schematiquement sur la figure 1 . 

D'une fagon generale, les moyens d'impression 19 deposent la 
marque d'affranchissement pendant que la lettre 2 ou I'objet a affranchir circule 
dans la machine 1 avec sa face a imprimer qui est plaquee contre la surface 17 
du support de glissement 6 f les moyens 19 etant situes entre les contre-galets 
12et13. 

Dans I'exemple illustre, les moyens d'impression 19 sont montes 
directement sur ie bati de la machine, et sont done fixes par rapport au support 
de glissement 6. 

Afin que les moyens d'impression 19 soient commandes en 
synchronisme avec I'avancement de I'objet dans la machine, il est prevu un 
detecteur de presence de I'objet (non represente) qui declenche un processus 
d'impression se deroulant automatiquement. 

Plus precisement, il existe un premier detecteur de presence qui 
commande la mise en route du moteur (non represente) lorsqu'un objet 
commence a etre introduit dans la machine 1. et un deuxieme detecteur de 
presence (non represente) qui declenche le processus d'impression lorsque 
I'objet est parvenu a un emplacement predetermine. 

En figure 2, est represente un circuit electronique de commande du 
dispositif tel que presente en figure 1. Ce circuit est illustre sous forme de 
schema synoptique et represente sous reference generale 100. II comporte, 
relies entre eux par un bus d'adresses et de donnees 102 : 

- une unite centrale de traitement 106 ; 

- une memoire vive RAM 104 ; 

- une memoire morte flash PROM 105 ; 

- un port d'entree sortie 103 servant a recevoir : 
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• le poids de Pobjet postal a affranchir, et 

• la detection de Pobjet postal par chacun des detecteurs (non 
representes aux figures) 

et a transmettre : 
5 • des signaux de commande de moteurs, et 

et, independamment du bus 102 : 

- des moteurs pas-a-pas 1 09 ; 

- des detecteurs de presence 110; 

- un ecran de visualisation 108 relie au port d'entree/sortie 103 ; 

10 - une balance 112 reliee au port d'entree/sortie 103 et foumissant 

des octets representatifs du poids d'un objet postal ; et 

- un clavier 101 relie au port d'entree/sortie 103 et foumissant des 
octets representatifs des touches de clavier successivement utilisees. 

Chacun des elements illustres en figure 2 est bien connu de Phomme 

15 du metier des circuits a microprocesseur et, plus generalement, des systemes 
de traitement de reformation. Ces elements ne sont done pas decrits ici. 

La memoire vive 104 conserve des donnees, des variables et des 
resultats intermediates de traitement, dans des registres de memoire portant, 
dans la suite de la description, les memes noms que les donnees dont ils 

20 conservent les valeurs. La memoire vive 104 comporte notamment des 
registres conservant des informations representatives du poids de I'objet postal 
a affranchir, le format de Pobjet postal en cours de traitement, le nombre 
d'objets postaux dans le lot en cours de traitement, des valeurs de compteurs 
ascendant et descendant qui correspondent a des montants d'affranchissement 

25 deja deposes et restant a deposer avant le rechargement de la machine. Ces 
derniers registres fonctionnent selon des techniques connues dans le domaine 
des machines a affranchir (au cours de chaque affranchissement, lorsque le 
montant du compteur descendant est superieur au montant de la marque 
d'affranchissement a deposer, il est decrements du montant de cette marque et 

30 le compteur ascendant est increments du meme montant). 
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La memoire morte 105 est adaptee a conserver le programme de 
fonctionnement de I'unite centrale de traitement 106, dans un registre 
M programl ", et les donnees necessaires au fonctionnement de ce programme. 

En fait, la memoire dite "morte" 105 est une memoire reinscriptible 
qui ne s'efface pas lorsque le dispositif est eteint. Elle n'est reinscriptible que 
selon des procedures securisees et seulement par certaines personnes 
habilitees, si bien que, pour I'utilisateur quotidien, elle apparaTt comme une 
memoire morte. 

L'unite centrale de traitement 106 est adaptee a mettre en oeuvre 
rorganigramme decrit en regard de la figure 4 eta organiser la memoire vive 
1 04, conformement a la figure 3A. 

Le programme ou logiciel de la machine a affranchir est un logiciel 
multitache, ce qui implique une allocation, par le processeur, d'un espace 
memoire, ou pile, associe a chaque tache. Cet espace memoire est contenu 
dans la memoire vive 1 04. 

Dans le mode de realisation decrit et represents, les espaces 
memoires alloues a toutes les piles sont alternativement juxtaposes & des 
parties de memoire dedtees a la detection, ou surveillance, du debordement 
des piles. 

Dans le tableau suivant, on a repr6sente, dans I'ordre des adresses 
memoires decroissantes, I'ensemble des piles mises en ceuvre par le 
programme, conformement a Tetat de la technique anterieure : 

pile de la tache n 
pile de ia tache n-1 



pile de la tache 1 

pile de la tache 0 

pile de la tache d'horloge 

pile de la tache de fond 
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On observe que c'est dans le sens vertical descendant que se 
deplacent les pointeurs de piles, quand on empile, lit ou ecrit dans les piles. 

On comprend aisement que si une pile deborde, c'est-a-dire si une 
tache effectue une ecriture en dehors de la pile qui lui est attribute, une autre 
pile est perturbee (des donnees y sont modifiees) et ('ensemble du 
fonctionnement de la machine a affranchir est perturbs. 

Dans le cas des machines a affranchir des valeurs conservees dans 
ces piles represented des valeurs "sensibles", comme des sommes d'argent. II 
est done indispensable de garantir Pinviolabilite des piles. 

Conformement a la presente invention, au demarrage du programme 
de Implication, tous les octets de chaque pile sont affectes a une valeur 
predefinie. Cette valeur predefinie est choisie a A5, en base hexadecimale, en 
prenant en compte le fait qu'aucun code ne reside a I'adresse A5A5. 

Ensuite, on fixe I'adresse de debut de pile pour chaque tache de 
I'application. Dans le mode de realisation decrit et represents, les quatre 
premiers octets de chaque pile sont reserves au controle du debordement. 

Dans le tableau suivant, correspondant a la figure 3A, on a 
represents, dans Tordre des adresses mSmoires decroissantes, i'ensemble des 
piles mises en oeuvre par le programme et des parties de memoire qui sont 
destinees a surveiller leur debordement, conformement a I'invention : 



quatre octets associes a la pile de la tache n : A5 A5 A5 A5 
pile de la tache n 

quatre octets associes a la pile de la tache n-1 : A5 A5 A5 A5 
pile de la tache n-1 

quatre octets associes a la pile de la tache n-2 : A5 A5 A5 A5 



quatre octets associes a la pile de la tache 1 
pile de la tache 1 



: A5 A5 A5 A5 
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quatre octets associes a la pile de la tache 0 : A5 A5 A5 A5 
pile de la tache 0 

quatre octets associes a la pile de la tache d'horloge : A5 A5 A5 A5 
pile de la tache d'horloge 

quatre octets associes a la pile de la tache de fond : A5A5A5A5 
pile de la tache de fond 

Les piles 300, 302, 304, 306, 310 et 312, sont associees a des 
parties de memoire 301, 303, 305, 307, 309, 311 et 313 conservant des valeurs 
predetermines. 

Un changement de contexte consiste en une action qui interrompt 
I'execution d'une tache pour activer I'execution d'une autre tache. Cette 
operation est menee par le noyau du programme multitache. Les fonctions du 
noyau permettent d'executer une routine specifique (routine dite « de Hook », 
non interne au noyau) pendant un changement de contexte. 

La routine de « Hook » est une portion de code qui est appelee par le 
noyau pendant un changement de contexte. A I'appel de la routine de « Hook » 
par le noyau, la tache courante est la nouvelle tache. En d'autres termes, le 
contexte en cours est le contexte de la nouvelle tache (la pile courante est la 
pile de la nouvelle tache). 

Dans le cadre de I'invention, cette routine est dediee au controle de 
Tintegrite de la pile de la nouvelle tache (c'est-a-dire la tache active a Tissue du 
changement de contexte). La routine verifie la valeur des octets de controle de 
la pile de la nouvelle tache. 

La detection d'un debordement de pile consiste, dans le mode de 
realisation decrit et represente, a verifier que les quatre octets qui precedent la 
pile liee a la nouvelle tache contiennent toujours les valeurs qui y avaient ete 
ecrites (A5A5A5A5). Si tous les octets controles n'ont pas la valeur 
predetermine qui y avait ete ecrite, un debordement de la pile situee au 
dessus de la pile associe a la nouvelle tache, est detecte. 

A titre d'exemple, dans le tableau suivant, correspondant a la figure 
3B, on a represente. dans I'ordre des adresses memoires decroissantes, 
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Pensemble des piles mises en ceuvre par le programme et des parties de 
memoire qui sont destinees a surveiller leur debordement, lorsque la pile n 312 
a deborde vers la pile n-1 310, en provoquant Pecriture des codes 
hexadecimaux 34 et 5F pour les deux premiers des quatre octets de la partie de 
memoire 31 1 qui est associee a la pile n-1 310 : 

quatre octets associes a la pile de la tache n : A5 A5 A5 A5 
pile de la tache n 

quatre octets associes a la pile de la tache n-1 : 34 5F A5 A5 
pile de la tache n-1 

quatre octets associes a la pile de la tache n-2 : A5 A5 A5 A5 



quatre octets associes a la 
pile de la tache 1 
quatre octets associes a la 
pile de la tache 0 
quatre octets associes a la 
pile de la tache d'horioge 
quatre octets associes a la 
pile de la tache de fond 

Au cours d'une operation d'initialisation 401, Punite centrale 106 
effectue Pinitialisation des valeurs conservees dans la memoire vive 104. 

Au cours d'une operation 402, Punite centrale 106 effectue 
Initialisation de tout Pespace memoire destine aux piles et aux parties de 
memoire associees, en y placant les valeurs hexadecimales A5. 

Puis, au cours d'une operation 403, Pexecution du programme 
multitaches est lancee par Pexecution d'une premiere tache et la mise en oeuvre 
d'un sequenceur de taches. 



pile de la tache 1 : A5 A5 A5 A5 

pile de la tache 0 : A5 A5 A5 A5 

pile de la tache d'horloge : A5 A5 A5 A5 

pile de la tache de fond : A5 A5 A5 A5 
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Ensuite, a chaque debut de changement de contexte 404, une 
routine de Hook 405 est effectuee. Cette routine 405 comporte 
successive me nt : 

- une operation 406 de sauvegarde des registres de ('application en 
entree de routine (la tache precedente, c'est-a-dire celle qui etait active avant le 
debut du changement de contexte) ; 

- une operation 407 de lecture de la position du debut de la partie de 
memoire qui est associee a la pile de la nouvelle tache (celle qui sera active a 
la fin du changement de contexte), 

- une operation 408 de lecture des octets places aux quatre 
premieres adresses en partant, en decroissant de I'adresse obtenue au cours 

de ('operation 407, 

- un test 409 au cours duquel I'unite centrale 106 determine si 
chacun des octets lus possede la valeur A5, en hexadecimal, ou non, 

- une operation d'arret d'application 410 et de declenchement 
d'alarme qui est effectuee lorsque le resultat du test 409 est negatif et a la suite 
duquel le programme attend une mise hors tension 413 de la machine a 
affranchir, et 

- une operation 411 de restauration des registres de I'application en 
sortie de routine. 

A la fin de la routine 405, au cours de reoperation 412, la nouvelle 
tache est executee jusqu'au prochain changement de contexte. 

En variante non representee, a la fin de I'execution d'une tache, on 
verifie la valeur des octets de la partie de memoire associee a la pile suivante, 
pour verifier que la pile de la tache qui vient de s'executer n'a pas deborde vers 
la pile qui lui succede. 

Selon une autre variante non representee, la partie de memoire 
destinee a la detection du debordement d'une pile est mitoyenne de la pile 
suivante, dans I'ordre d'ecriture de la pile a laquelle est associee ladite partie de 
memoire, sans etre mitoyenne de la pile surveill^e. 

Selon une autre variante non representee, la partie de memoire 
destinee a la detection du debordement d'une pile est mitoyenne de la pile 
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surveillee, sans etre mitoyenne de la pile suivante, dans I'ordre d'ecriture de la 
pile a laquelle est associee ladite partie de memoire. 
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REVENDICATIONS 

1. Procede de detection de debordement d'au moins une pile (300 f 
302, 304, 306, 310, 312), espace memoire reserve a une partie d'un 
programme d'ordinateur, caracteris<§ en ce qu'il comporte : 

- pour chaque pile surveillee, une operation d'attribution (402) de 
valeurs predetermines a une partie de memoire (301, 303, 305, 307, 309, 311, 
313) qui, dans Pordre d f ecriture de ladite pile, succede a ladite pile, et 

- a chaque mise en oeuvre d'une partie de programme assoctee a 
ladite pile (404), une operation de lecture (407, 408) de valeurs presentes dans 
ladite partie de memoire et une operation de verification de valeurs lues (409). 

2. Procede selon la revendication 1, caracterise en ce que ledit 
programme est multitache, chaque tache etant associee a une pile et en ce que 
a chaque changement de contexte (404), les operations de lecture et de 
verification sont effectuees sur la partie de memoire associee a la pile de la 
tache qui va etre mise en oeuvre. 

3. Procede selon la revendication 1, caract§ris6 en ce que ledit 
programme est multitache, chaque tache etant associee a une pile et en ce que 
a chaque changement de contexte (404), les operations de lecture et de 
verification sont effectuees sur la partie de memoire associee a la pile qui suit, 
dans I'ordre d'ecriture des piles, la pile de la tache dont la mise en oeuvre vient 
d'etre interrompue. 

4. Procede selon Tune quelconque des revendications 1 & 3, 
caracterise en ce que, au cours de ('operation d'attribution (402), la partie de 
memoire (305) associee a une pile (304) lui est mitoyenne. 

5. Procede selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que, au cours de I'operation d'attribution (402), la partie de 
memoire (305) associee a une pile (304) est mitoyenne de ia pile suivante 
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(306), dans I'ordre d'ecriture de la pile a laquelle est associee ladite partie de 
memoire. 

6. Procede selon Tune quelconque des revendications 1 & 5, 
5 caracterise en ce que les operations de lecture et de verification (407 a 409) 

sont effectuees par une routine (405) dudit programme. 

7. Procede selon I'une quelconque des revendications 1 a 6, 
caracterisees en ce que lesdites valeurs predeterminees sont egales entre 

10 elles. 

8. Procede selon I'une quelconque des revendications 1^7, 
caracterisees en ce que lesdites valeurs predeterminees sont differentes de 
toutes les valeurs prises par les codes informatiques dudit programme ou de 

1 5 toutes les valeurs utilisees dans les piles. 

9. Procede selon Tune quelconque des revendications 1 a 8, 
caracterise en ce que lorsque, au cours de ('operation de verification (409), il est 
determine qu'au moins une valeur lue a ete modifiee, au cours d'une operation 

20 de modification de programme (410), la mise en ceuvre de chaque partie de 
programme relative a la pile associee a la partie de memoire qui a ete lue est 
suspendue. 

10. Procede selon I'une quelconque des revendications 1 a 9, 
25 caracterise en ce que lorsque, au cours de ('operation de verification (409), il est 

determine qu'au moins une valeur lue a ete modifiee, au cours d'une operation 
de modification de programme (410), la mise en ceuvre de chaque partie de 
programme relative a la pile qui succede, dans I'ordre d'ecriture des piles, a la 
pile associee a la partie de memoire lue, est suspendue. 

30 

11. Dispositif (10) de detection de debordement d'au moins une pile 
(300, 302, 304, 306, 310, 312), espace memoire reserve a une partie d'un 
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programme d'ordinateur, caracterise en ce qu'il comporte un moyen de 
traitement (106) adapte, 

- pour chaque pile surveillee, a attribuer des valeurs predeterminees 
a une partie de memoire (301, 303, 305, 307, 309, 311, 313) qui, dans I'ordre 
d'ecriture de ladite pile, succede a ladite pile, et 

- a chaque mise en oeuvre d'une partie de programme associee a 
ladite pile, a lire des valeurs presentes dans ladite partie de memoire et a 
verifier des valeurs lues. 

12. Dispositif selon la revendication 11, caracterise en ce que le 
moyen de traitement (106) est adapte a mettre en oeuvre un programme 
multitache, chaque tache etant associee a une pile et en ce que a chaque 
changement de contexte (404), a lire et a verifier des valeurs de la partie de 
memoire associee a la pile de la tache qui va etre mise en ceuvre. 

13. Dispositif selon la revendication 11, caracterise en ce que le 
moyen de traitement (106) est adapte, d'une part, a mettre en ceuvre un 
programme multitache, chaque tache etant associee a une pile et, d'autre part, 
a chaque changement de contexte (404), a lire et a verifier des valeurs de la 
partie de memoire associee a la pile qui suit, dans I'ordre d'ecriture des piles, la 
pile de la tache dont la mise en ceuvre vient d'etre interrompue. 

14. Dispositif selon Tune quelconque des revendications 11 a 13, 
caracterise en ce que le moyen de traitement (106) est adapte a attribuer a une 
pile (304) une partie de memoire (305) qui lui est mitoyenne. 

15. Dispositif selon Tune quelconque des revendications 11 a 14, 
caracterise en ce que le moyen de traitement (106) est adapte a attribuer a une 
pile (304) une partie de memoire (305) qui est mitoyenne de la pile suivante 
(306), dans I'ordre d'ecriture de la pile a laquelle est associee ladite partie de 
memoire. 
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16. Dispositif selon Tune quelconque des revendications 11 a 15, 
caracterise en ce que le moyen de traitement (106) est adapte a lire et a verifier 
des valeurs de la partie de memoire en mettant en oeuvre une routine dudit 
programme (405). 

5 

17. Dispositif selon Tune quelconque des revendications 11 a 16, 
caracterisees en ce que le moyen de traitement (106) est adapte a ce que 
lesdites valeurs predeterminees soient egales entre elles. 

10 18. Dispositif selon Tune quelconque des revendications 11 a 17, 

caracterisees en ce que le moyen de traitement (106) est adapte a ce que 
lesdites valeurs predeterminees soient differentes de toutes les valeurs prises 
par les codes informatiques dudit programme ou de toutes les valeurs utilisees 
dans les piles. 

15 

19. Dispositif selon Tune quelconque des revendications 11 a 18, 
caracterise en ce que le moyen de traitement (106) est adapte, lorsqu'il a 
determine qu'au moins une valeur lue a ete modifiee, a modifier ('execution du 
programme, la mise en ceuvre de chaque partie de programme relative a la pile 

20 associee a la partie de memoire qui a ete lue etant suspendue (410). 

20. Dispositif selon Tune quelconque des revendications 11 a 19, 
caracterise en ce que le moyen de traitement (106) est adapte, lorsqu'il a 
determine qu'au moins une valeur lue a ete modifiee, a modifier I'execution du 

25 programme, la mise en oeuvre de chaque partie de programme relative a la pile 
qui succede, dans I'ordre d'ecriture des piles, a la pile associee a la partie de 
memoire lue, etant suspendue (410). 

21. Machine a affranchir (1), caracterisee en ce qu'elle comporte un 
30 dispositif selon Tune quelconque des revendications 11 a 20. 
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